Guide de mise en œuvre de
Symantec™ Network Access
Control Enforcer
Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut être utilisé qu'en conformité avec les termes de ce contrat.
Version de documentation 11.00.03.01.00
Mentions légales
Copyright © 2008 Symantec Corporation. Tous droits réservés.
Symantec, le logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton et TruScan sont des marques commerciales ou des marques déposées de Symantec Corporation ou ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms sont des marques commerciales de leurs détenteurs respectifs.
Ce produit de Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis à disposition en open source ou avec des licences gratuites. Ce Contrat de licence n'altère aucun des droits ou obligations que vous pouvez avoir dans le cadre de telles licences open source ou de logiciels libres. Reportez-vous à l'annexe consacrée à l'avis légal sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit pour en savoir plus sur les logiciels tiers.
Le produit décrit dans ce document est distribué aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence éventuels.
LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPTÉ DANS LA MESURE OÙ DE TELLES EXCLUSIONS SERAIENT TENUES POUR POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS PRESENTES DANS CETTE DOCUMENTATION SONT SUJETTES A MODIFICATION SANS PREAVIS.
Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights"
et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et à tous règlements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,
présentation ou communication du Logiciel sous licence et de la documentation par le gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent contrat.
Symantec Corporation 20330 Stevens Creek Blvd.
Cupertino, CA 95014 Etats-Unis http://www.symantec.fr
Le support technique de Symantec met à jour des centres de support globalement.
Le rôle primaire du support technique est de réagir aux requêtes spécifiques au sujet des fonctions et de la fonctionnalité d'un produit. Le groupe de support technique crée également le contenu pour notre base de données en ligne. Le groupe de support technique travaille en collaboration avec les autres domaines fonctionnels de Symantec pour répondre à vos questions en temps utile. Par exemple, le groupe de support technique travaille avec l'ingénierie de produit et Symantec Security Response pour fournir des services d'alerte et des mises à jour de définitions de virus.
Les offres de maintenance de Symantec incluent ce qui suit :
■ Un intervalle des options de support qui vous donnent la flexibilité de sélectionner la bonne quantité de service pour les sociétés de toutes tailles
■ Le support est pris en charge par téléphone et sur Internet et fournit une réponse rapide et les informations de dernière minute
■ L'assurance de mise à niveau fournit la protection de la mise à niveau de logiciels automatique
■ Prise en charge globale est disponible 24 heures sur 24, 7 jours sur 7
■ Dispositifs avancés, y compris la gestion de compte Services
Pour plus d'informations au sujet des programmes de maintenance de Symantec, vous pouvez visiter notre site Web sur l'URL suivante :
www.symantec.com/techsupp/
Contacter le support technique
Les clients avec un contrat de maintenance en cours peuvent accéder aux informations de support technique sur l'URL suivante :
www.symantec.com/techsupp/
Avant de contacter le support technique, vérifiez que vous répondez à la configuration requise indiquée dans la documentation du produit. En outre, nous vous conseillons être devant l'ordinateur sur lequel le problème se pose, au cas où il serait nécessaire de répliquer le problème.
Quand vous entrez en contact avec le support technique, ayez les informations disponibles suivantes en votre possession :
■ Niveau de version du produit
■ Les informations sur l'équipement
■ Mémoire disponible, espace disque et informations NIC
■ Système d'exploitation
■ Version et niveau de correctif
■ Topologie réseau
■ Routeur, passerelle et informations d'Adresse IP
■ Description du problème :
■ Messages d'erreur et fichiers journaux
■ Dépannage effectué avant de contacter Symantec
■ Les modifications récentes de la configuration logicielle et les modifications réseau
Programme de licences et d'enregistrement
Si votre produit Symantec requiert un enregistrement ou une clé de licence, accédez à notre page Web de support technique à l'URL suivante :
www.symantec.com/techsupp/
Service client
Les informations du service client sont disponibles sur l'URL suivante : www.symantec.com/techsupp/
Le service client est disponible pour aider avec les types de problèmes suivants :
■ Questions concernant le programme de licences ou la numérotation de produit
■ Mises à jour d'enregistrement de produit, telles que l'adresse ou les changements de nom
■ Les informations générales sur le produit (fonctions, disponibilité de langue, distributeurs locaux)
■ Les dernières informations sur les mises à jour et les mises à niveau du produit
■ Informations sur l'assurance et les contrats de maintenance de mise à niveau
■ Informations sur les Programmes d'achats Symantec
■ Conseil sur les options du support technique Symantec
■ Questions non techniques d'avant-vente
■ Problèmes liés au CD-ROM ou aux manuels
maintenance existant, veuillez contactez l'équipe administrative de contrat de maintenance pour votre région comme suit :
contractsadmin@symantec.com Asie Pacifique et Japon
semea@symantec.com Europe, Moyen-Orient et Afrique
supportsolutions@symantec.com Amérique du Nord et Amérique
latine
Services d'entreprise supplémentaires
Symantec offre un ensemble complet de services qui vous permettent d'optimiser votre investissement dans les produits Symantec et de développer votre connaissance, expertise et perspicacité globale, pour vous permettre de gérer vos risques d'affaires de manière proactive.
Les services destinés aux entreprises disponibles incluent ce qui suit :
Ces solutions fournissent l'alerte instantanée des cyberattaques, de l'analyse de menace complète et les contre-mesures qui empêchent les attaques avant qu'elles se produisent.
Symantec Early Warning Solutions
Ces services suppriment la charge que représente la gestion et le contrôle des périphériques et des événements de sécurité, assurant l'intervention rapide face aux menaces réelles.
Services de supervision de la sécurité
Les services de conseil Symantec fournissent l'expertise technique sur site de Symantec et de ses partenaires approuvés. Les services de conseil Symantec offrent une série d'options préemballées et personnalisables qui incluent l'évaluation, la conception, la mise en place, la surveillance et les fonctions de gestion. Chacun se concentré pour établir et mettre à jour l'intégrité et la disponibilité de vos ressources informatiques.
Services de conseil
Les services éducatifs fournissent un ensemble complet de formation technique, d'éducation de sécurité, de certification de sécurité et de programmes de communication de connaissance.
Services éducatif
Pour accéder à plus d'informations sur les services destinés aux entreprises, visitez s'il vous plaît notre site Web sur l'URL suivante :
www.symantec.com
Sélectionnez votre pays ou langue dans le sommaire du site.
Contacter le support technique
Les clients avec un contrat de maintenance en cours peuvent accéder aux informations de support technique sur l'URL suivante :
www.symantec.com/techsupp/
Avant de contacter le support technique, vérifiez que vous répondez à la configuration requise indiquée dans la documentation du produit. En outre, nous vous conseillons être devant l'ordinateur sur lequel le problème se pose, au cas où il serait nécessaire de répliquer le problème.
Quand vous entrez en contact avec le support technique, ayez les informations disponibles suivantes en votre possession :
■ Niveau de version du produit
■ Les informations sur l'équipement
■ Mémoire disponible, espace disque et informations NIC
■ Système d'exploitation
■ Version et niveau de correctif
■ Topologie réseau
■ Routeur, passerelle et informations d'Adresse IP
■ Description du problème :
■ Messages d'erreur et fichiers journaux
■ Dépannage effectué avant de contacter Symantec
■ Les modifications récentes de la configuration logicielle et les modifications réseau
Programme de licences et d'enregistrement
Si votre produit Symantec requiert un enregistrement ou une clé de licence, accédez à notre page Web de support technique à l'URL suivante :
www.symantec.com/techsupp/
Service client
Les informations du service client sont disponibles sur l'URL suivante : www.symantec.com/techsupp/
Le service client est disponible pour aider avec les types de problèmes suivants :
■ Questions concernant le programme de licences ou la numérotation de produit
Les informations générales sur le produit (fonctions, disponibilité de langue, distributeurs locaux)
■ Les dernières informations sur les mises à jour et les mises à niveau du produit
■ Informations sur l'assurance et les contrats de maintenance de mise à niveau
■ Informations sur les Programmes d'achats Symantec
■ Conseil sur les options du support technique Symantec
■ Questions non techniques d'avant-vente
■ Problèmes liés au CD-ROM ou aux manuels
Ressources de contrat de maintenance
Si vous voulez entrer en contact avec Symantec concernant un contrat de maintenance existant, veuillez contactez l'équipe administrative de contrat de maintenance pour votre région comme suit :
contractsadmin@symantec.com Asie Pacifique et Japon
semea@symantec.com Europe, Moyen-Orient et Afrique
supportsolutions@symantec.com Amérique du Nord et Amérique
latine
Services d'entreprise supplémentaires
Symantec offre un ensemble complet de services qui vous permettent d'optimiser votre investissement dans les produits Symantec et de développer votre connaissance, expertise et perspicacité globale, pour vous permettre de gérer vos risques d'affaires de manière proactive.
Les services destinés aux entreprises disponibles incluent ce qui suit :
Ces solutions fournissent l'alerte instantanée des cyberattaques, de l'analyse de menace complète et les contre-mesures qui empêchent les attaques avant qu'elles se produisent.
Symantec Early Warning Solutions
Ces services suppriment la charge que représente la gestion et le contrôle des périphériques et des événements de sécurité, assurant l'intervention rapide face aux menaces réelles.
Services de supervision de la sécurité
Les services de conseil Symantec fournissent l'expertise technique sur site de Symantec et de ses partenaires approuvés. Les services de conseil Symantec offrent une série d'options préemballées et personnalisables qui incluent l'évaluation, la conception, la mise en place, la surveillance et les fonctions de gestion. Chacun se concentré pour établir et mettre à jour l'intégrité et la disponibilité de vos ressources informatiques.
Services de conseil
Les services éducatifs fournissent un ensemble complet de formation technique, d'éducation de sécurité, de certification de sécurité et de programmes de communication de connaissance.
Services éducatif
Pour accéder à plus d'informations sur les services destinés aux entreprises, visitez s'il vous plaît notre site Web sur l'URL suivante :
www.symantec.com
Sélectionnez votre pays ou langue dans le sommaire du site.
Support technique
... 4Section 1 Installer et configurer des boîtiers Symantec Network Access Control Enforcer
... 29Chapitre 1 Présentation du boîtier Enforcer
... 31A propos des boîtiers Symantec Enforcer ... 31
Public visé ... 32
Types d'application ... 33
Opérations possibles avec les boîtiers Symantec Network Access Control Enforcer ... 35
A propos des politiques d'intégrité de l'hôte et le boîtier Enforcer ... 36
Communiquer entre un boîtier Enforcer et Symantec Endpoint Protection Manager ... 37
Communication entre le boîtier Enforcer et les clients ... 38
Fonctionnement du boîtier Gateway Enforcer ... 39
Fonctionnement du boîtier DHCP Enforcer ... 40
Fonctionnement du boîtier LAN Enforcer ... 41
Fonctionnement de la configuration de base de LAN Enforcer ... 42
Fonctionnement du mode transparent de LAN Enforcer ... 43
A propos de l'authentification 802.1x ... 44
Prise en charge de solutions d'application tierces ... 45
Informations supplémentaires sur les modules d'application Symantec Enforcer ... 45
Chapitre 2 Planifier l'installation du boîtier Enforcer
... 47Planifier l'installation de boîtiers Enforcer ... 47
Planification d'installation pour un boîtier Gateway Enforcer ... 48
Où placer le boîtier Gateway Enforcer ... 49
Table des matières
Directives pour les adresses IP d'un boîtier Gateway
Enforcer ... 51
Série de deux boîtiers Gateway Enforcer ... 51
Protection d'accès VPN par un boîtier Gateway Enforcer ... 52
Protection de points d'accès sans fil par un boîtier Gateway Enforcer ... 52
Protection des serveurs par un boîtier Gateway Enforcer ... 52
Protection des serveurs et des clients non Windows par un boîtier Gateway Enforcer ... 53
Conditions requises pour l'autorisation de clients non-Windows sans authentification ... 54
Planifier le basculement pour les boîtiers Gateway Enforcer ... 55
Utiliser le basculement avec des boîtiers Gateway Enforcer dans le réseau ... 55
Placer les boîtiers Gateway Enforcer pour le basculement dans un réseau avec un ou plusieurs VLAN ... 56
Installer les boîtiers Gateway Enforcer pour le basculement ... 59
Planification d'installation pour un boîtier DHCP Enforcer ... 59
Où placer les boîtiers DHCP Enforcer dans un réseau ... 59
Adresses IP de boîtier DHCP Enforcer ... 61
Protection des clients non-Windows avec l'application DHCP ... 62
A propos du serveur DHCP ... 63
Planifier le basculement pour les boîtiers DHCP Enforcer ... 64
Fonctionnement du basculement avec les boîtiers DHCP Enforcer dans le réseau ... 64
Où placer les boîtiers DHCP Enforcer pour le basculement dans un réseau avec un seul ou plusieurs VLAN ... 65
Configurer les boîtiers DHCP Enforcer pour le basculement ... 67
Planification d'installation pour un boîtier LAN Enforcer ... 68
Emplacement des boîtiers LAN Enforcer ... 68
Planifier le basculement pour les boîtiers LAN Enforcer ... 71
Emplacement des boîtiers LAN Enforcer pour le basculement dans un réseau ... 71
Chapitre 3 Mettre à niveau et migrer les images du boîtier Enforcer
... 73A propos de la mise à niveau et de la migration des images de boîtier Enforcer vers la version 11.0.3000 ... 73
Déterminer la version actuelle d'une image de boîtier Enforcer ... 74
Mettre à niveau l'image de boîtier Enforcer de 11.0 ou 11.0.2000 vers 11.0.3000 ... 75
Migrer l'image du boîtier Enforcer de 5.1.x vers 11.0.3000 ... 75
Recréer une image de boîtier Enforcer ... 76
Chapitre 4 Première installation du boîtier Enforcer
... 79Avant d'installer le boîtier Enforcer ... 79
A propos de l'installation du boîtier Gateway Enforcer ... 79
A propos de l'installation du boîtier DHCP Enforcer ... 80
A propos de l'installation du boîtier LAN Enforcer ... 81
A propos des indicateurs et des commandes d'Enforcer ... 81
Paramètres de carte d'interface réseau de boîtier Gateway Enforcer ou DHCP Enforcer ... 83
Installer un boîtier Enforcer ... 84
A propos du verrou de boîtier Enforcer ... 88
Chapitre 5 Effectuer des tâches de base sur la console d'un boîtier Enforcer
... 89A propos de l'exécution de tâches de base sur la console d'un boîtier Enforcer ... 89
Se connecter à un boîtier Enforcer ... 90
Configurer une connexion entre un boîtier Enforcer et Symantec Endpoint Protection Manager ... 91
Vérifier l'état de communication d'un boîtier Enforcer sur la console Enforcer ... 93
Accès distant à un boîtier Enforcer ... 93
Rapports Enforcer et journaux de débogage ... 94
Chapitre 6 Configurer le boîtier Symantec Gateway Enforcer sur la console Symantec Endpoint Protection Manager
... 95A propos de la configuration de boîtier Symantec Gateway Enforcer sur la console Symantec Endpoint Protection Manager ... 96
Modification des paramètres de configuration de boîtier Gateway Enforcer sur un serveur de gestion ... 97
Utiliser les paramètres généraux ... 100
Ajout ou modification de la description d'un groupe de boîtiers Gateway Enforcer ... 101
Ajout ou modification de la description d'un boîtier Gateway Enforcer ... 101
Ajout ou modification de l'adresse IP ou du nom d'hôte d'un boîtier Gateway Enforcer ... 102
13 Table des matières
Etablissement de la connexion entre un boîtier Gateway Enforcer et Symantec Endpoint Protection Manager via une liste de
serveur de gestion ... 102
Utiliser les paramètres d'authentification ... 103
A propos de l'utilisation des paramètres d'authentification ... 104
A propos des sessions d'authentification sur un boîtier Gateway Enforcer boîtier ... 107
A propos de l'authentification client sur un boîtier Gateway Enforcer boîtier ... 107
Spécifier le nombre maximum de paquets pendant une session d'authentification ... 108
Spécification de la fréquence des paquets de stimulation à envoyer aux clients ... 109
Spécifier la période pendant laquelle un client est bloqué après échec de son authentification ... 110
Spécifier la période durant laquelle un client est autorisé à maintenir sa connexion réseau sans réauthentification ... 111
Autorisation de tous les clients avec la connexion continue des clients non-authentifiés ... 112
Autorisation des clients non-Windows à se connecter à un réseau sans authentification ... 113
Vérification par le boîtier Gateway Enforcer du numéro de série de politique sur un client ... 114
Envoi d'un message de non-conformité du boîtier Gateway Enforcer à un client ... 115
Rediriger des requêtes HTTP vers une page Web ... 117
Paramètres de plage d'authentification ... 118
Comparaison des plages d'adresses IP du client et des adresses IP externes approuvées ... 119
Quand utiliser des plages d'adresses IP client ... 119
A propos des adresses IP approuvées ... 120
Ajouter des plages d'adresses IP client à la liste des adresses nécessitant une authentification ... 122
Modifier les plages d'adresses IP client dans la liste d'adresses nécessitant une authentification ... 123
Supprimer des plages d'adresses IP client de la liste d'adresses nécessitant une authentification ... 124
Ajouter une adresse IP interne approuvée pour des clients sur un serveur de gestion ... 125
Spécifier les adresses IP externes approuvées ... 126
Modifier une adresse IP interne ou externe approuvée ... 127
Supprimer une adresse IP interne ou externe approuvée ... 127
Ordre de vérification d'une plage IP ... 128
Utilisation des paramètres avancés de boîtier Gateway Enforcer ... 129
Spécification de types de paquets et protocoles ... 129
Autorisation d'un client hérité à se connecter au réseau avec un boîtier Gateway Enforcer ... 131
Activation de l'authentification locale sur le boîtier Gateway Enforcer ... 131
Chapitre 7 Configurer le boîtier Symantec DHCP Enforcer sur la console Symantec Endpoint Protection Manager
... 133A propos de la configuration du boîtier Symantec DHCP Enforcer sur la console Symantec Endpoint Protection Manager. ... 134
Modification des paramètres de configuration du boîtier DHCP Enforcer sur un serveur de gestion ... 134
Utiliser les paramètres généraux ... 137
Ajout ou modification du nom d'un groupe de modules Enforcer avec un module DHCP Enforcer ... 137
Ajout ou modification de la description d'un groupe d'Enforcer avec un module DHCP Enforcer ... 137
Ajout ou modification de l'adresse IP ou du nom d'hôte d'un module DHCP Enforcer ... 138
Ajout ou modification de la description d'un module DHCP Enforcer ... 138
Connexion de DHCP Enforcer à Symantec Endpoint Protection Manager ... 139
Utiliser les paramètres d'authentification ... 140
A propos de l'utilisation des paramètres d'authentification ... 141
A propos des sessions d'authentification ... 143
Spécifier le nombre maximum de paquets pendant une session d'authentification ... 144
Spécification de la fréquence des paquets de stimulation à envoyer aux clients ... 145
Autorisation de tous les clients avec la connexion continue des clients non-authentifiés ... 146
Autorisation des clients non-Windows à se connecter à un réseau sans authentification ... 147
Vérification par le module d'application DHCP Enforcer du numéro de série de politique d'un client ... 148
Envoi d'un message de non-conformité du boîtier DHCP Enforcer à un client ... 149
Utiliser les paramètres de serveurs DHCP ... 151
A propos de l'utilisation des paramètres de serveurs DHCP ... 151 15 Table des matières
Combiner un serveur DHCP normal et un serveur DHCP en
quarantaine sur un ordinateur ... 152
Activer les serveurs DHCP distincts normaux et mis en quarantaine ... 153
Ajouter un serveur DHCP normal ... 153
Ajouter un serveur DHCP de quarantaine ... 154
Utilisation des paramètres avancés de boîtier DHCP Enforcer ... 155
Configurer une quarantaine automatique pour un client qui échoue à l'authentification ... 156
Spécifier la période de l'attente du boîtier DHCP Enforcer avant qu'il n'accorde un accès client au réseau ... 157
Autorisation des serveurs, des clients et des périphériques à se connecter au réseau en tant qu'hôtes approuvés sans authentification ... 157
Empêcher l'usurpation DNS ... 159
Autorisation d'un client hérité à se connecter au réseau avec DHCP Enforcer ... 159
Activation de l'authentification locale sur le boîtier DHCP Enforcer ... 160
Chapitre 8 Configurer le boîtier Symantec LAN Enforcer sur la console Symantec Endpoint Protection Manager
... 161A propos de la configuration de Symantec LAN Enforcer sur la console de boîtier Symantec Endpoint Protection Manager ... 162
A propos de la configuration de serveurs RADIUS sur un boîtier LAN Enforcer ... 162
Configurer des points d'accès sans fil 802.1x sur un boîtier LAN Enforcer ... 163
Modifier les paramètres de configuration de LAN Enforcer sur une console Symantec Endpoint Protection Manager ... 165
Utiliser les paramètres généraux ... 167
Ajouter ou modifier le nom d'un groupe de boîtiers LAN Enforcer avec un module LAN Enforcer ... 167
Spécifier un port d'écoute utilisé pour la communication entre un commutateur VLAN et LAN Enforcer ... 168
Ajout ou modification de la description d'un groupe d'Enforcer avec un module LAN Enforcer ... 169
Ajout ou modification de l'adresse IP ou du nom d'hôte d'un module LAN Enforcer ... 169
Ajout ou modification de la description d'un module LAN Enforcer ... 169
Connexion de LAN Enforcer à Symantec Endpoint Protection
Manager ... 170
Utiliser des paramètres de groupe de serveurs RADIUS ... 171
Ajouter un nom de groupe de serveurs RADIUS et un serveur RADIUS ... 172
Modifier le nom d'un groupe de serveurs RADIUS ... 174
Modifier le nom convivial d'un serveur RADIUS ... 174
Modifier le nom d'hôte ou l'adresse IP d'un serveur RADIUS ... 175
Modifier le numéro de port d'authentification d'un serveur RADIUS ... 176
Modifier le secret partagé d'un serveur RADIUS ... 177
Supprimer le nom d'un groupe de serveurs RADIUS ... 178
Supprimer un serveur RADIUS ... 178
Utiliser les paramètres de commutateur ... 179
Utiliser les paramètres de commutateur ... 179
A propos de la prise en charge des attributs de modèles de commutateur ... 181
Ajouter une politique de commutateur de 802.1x pour un boîtier LAN Enforcer avec un assistant ... 184
Modifier les informations de base de la politique de commutateur et les commutateurs compatibles 802.1x ... 193
Modifier les informations sur le commutateur compatible 802.1x ... 200
Modifier les informations de VLAN pour la politique de commutateur ... 202
Modifier les informations d'action pour la politique de commutateur ... 205
Utilisation des paramètres avancés de boîtier LAN Enforcer ... 209
Autoriser un client hérité à se connecter au réseau avec un boîtier LAN Enforcer ... 210
Activation de l'authentification locale sur le boîtier LAN Enforcer ... 210
Utilisation de l'authentification 802.1x ... 211
A propos de la réauthentification sur l'ordinateur client ... 214 17 Table des matières
Chapitre 9 Configurer les connexions temporaires pour les clients à la demande Symantec Network Access Control
... 217 A propos de la configuration de connexions temporaires pour lesclients Symantec Network Access Control On-Demand ... 217 Avant de configurer les clients Symantec Network Access Control
On-Demand sur une console Gateway ou DHCP
Enforcer ... 218 Activation de clients à la demande Symantec Network Access
Control pour une connexion temporaire à un réseau ... 221 Installer l'authentification sur la console Gateway ou DHCP Enforcer
pour les clients à la demande de Symantec Network Access
Control ... 223 Configurer l'authentification avec une base de données locale
intégrée ... 223 Configurer l'authenticaton avec Microsoft Windows Server 2003
Active Directory ... 224 Installer le client à la demande sous Windows pour
l'authentification avec le protocole dot1x ... 225 Installer le client à la demande sous Windows pour
l'authentification avec le protocole peap ... 226 Modifier la bannière de la page d'accueil ... 227 Dépanner la connexion entre le module d'application Enforcer et les
clients à la demande ... 227
Chapitre 10 Interface de ligne de commande de boîtier
Enforcer
... 231 A propos de la hiérarchie de commande d'interface de ligne decommande de boîtier Enforcer ... 231 Hiérarchie de commande d'interface de ligne de commande ... 232 Déplacement au sein de la hiérarchie de commande ... 235 Raccourcis clavier de l'interface de ligne de commande de boîtier
Enforcer ... 236 Accès à l'aide des commandes d'interface de ligne de commande ... 237
Chapitre 11 Référence d'interface de ligne de commande de
boîtier Enforcer
... 241 Conventions de commande ... 241 Référence alphabétique d'interface de ligne de commande de boîtierEnforcer ... 242 Commandes de niveau supérieur ... 257
Clear ... 257
Date ... 258
Exit ... 258
Commande Help ... 258
Commande hostname ... 259
Password ... 259
Ping ... 260
Reboot ... 260
Shutdown ... 261
Show ... 261
Start ... 262
Stop ... 262
Traceroute ... 262
Update ... 263
Capture commands ... 263
Commande capture compress ... 263
Capture Filter ... 264
Capture Show ... 265
Capture Start ... 266
Capture upload ... 267
Capture Verbose ... 267
Configure commands ... 268
Commandes configure advanced ... 268
Configure DNS ... 275
Configure interface ... 275
Configure interface-role ... 276
Configure NTP ... 277
Configure Redirect ... 278
Configure Route ... 278
Configure Show ... 279
Configure SPM ... 279
Commandes Console ... 280
Console Baud-rate ... 280
Console SSH ... 281
Console SSHKEY ... 281
Console Show ... 281
Commandes debug ... 282
Debug Destination ... 282
Debug Level ... 282
Debug Show ... 283
Debug upload ... 284
Commandes MAB ... 284
Commande MAB disable ... 284 19 Table des matières
Commande MAB enable ... 285
Commandes MAB LDAP ... 285
Commande MAB show ... 288
Commandes du groupe Monitor ... 288
Commande monitor refresh ... 289
Commande monitor show ... 289
Commande monitor show blocked-hosts ... 289
Commande monitor show connected-guests ... 291
Commande monitor show connected-users ... 292
Commandes SNMP ... 293
Commande SNMP disable ... 293
Commande SNMP enable ... 293
Commande SNMP heartbeat ... 293
Commande SNMP receiver ... 294
Commande SNMP show ... 294
Commande SNMP trap ... 295
Commandes on-demand ... 295
Commandes on-demand authentication ... 295
Commande on-demand banner ... 302
Commande on-demand client-group ... 302
Commandes on-demand dot1x ... 303
Commande on-demand show ... 313
Commande on-demand spm-domain ... 314
Commandes on-demand mac-compliance ... 315
Chapitre 12 Dépanner un boîtier Enforcer
... 319Dépanner un boîtier Enforcer ... 319
Rubriques de dépannage générales et problèmes connus ... 320
A propos du transfert des informations de débogage sur le réseau ... 321
Chapitre 13 Questions fréquemment posées au sujet des boîtiers Gateway Enforcer, DHCP Enforcer ou LAN Enforcer
... 323Questions relatives à Enforcer ... 323
Quel logiciel antivirus prend en charge l'intégrité de l'hôte ? ... 324
Les politiques d'intégrité d'hôte peuvent-elles être définies au niveau du groupe ou au niveau global ? ... 325
Pouvez-vous créer un message personnalisé d'intégrité d'hôte ? ... 325
Que se produit si les boîtiers Enforcer ne peuvent pas communiquer avec Symantec Endpoint Protection
Manager ? ... 325 Un serveur RADIUS est-il requis lorsqu'un boîtier LAN Enforcer
s'exécute en mode transparent ? ... 326 Comment l'application gère-t-elle les ordinateurs sans
clients ? ... 326
Section 2 Installer Symantec NAC Integrated Enforcer pour serveurs DHCP
Microsoft
... 329Chapitre 14 Présentation de Symantec NAC Integrated Enforcer pour serveurs DHCP Microsoft
... 331 A propos de Symantec NAC Integrated Enforcer pour serveurs DHCPMicrosoft ... 331 Fonctionnement d'un module d'application Integrated Enforcer pour
serveurs DHCP Microsoft ... 332 Prise en main de l'installation d'un boîtier Integrated Enforcer pour
serveurs DHCP Microsoft ... 333 Informations supplémentaires sur la documentation relative à
Integrated Enforcer pour serveurs DHCP Microsoft ... 334
Chapitre 15 Planifier l'installation de Symantec NAC Integrated Enforcer pour serveurs DHCP Microsoft
... 337 A propos de la planification de l'installation d'Integrated Enforcerpour serveurs DHCP Microsoft ... 337 Composants requis pour Integrated Enforcer pour serveurs DHCP
Microsoft ... 338 Configuration matérielle requise pour Integrated Enforcer pour
serveurs DHCP Microsoft ... 338 Système d'exploitation requis pour Integrated Enforcer pour serveurs
DHCP Microsoft ... 339 Planification de l'emplacement d'un module d'application Integrated
Enforcer pour serveurs DHCP Microsoft ... 339 21 Table des matières
Chapitre 16 Installer Symantec NAC Integrated Enforcer pour
serveurs DHCP Microsoft
... 341 Avant d'installer Integrated Enforcer pour serveurs DHCPMicrosoft ... 341 Installer un module d'application Integrated Enforcer pour serveurs
DHCP Microsoft ... 342 Mettre à niveau le module d'application Integrated Enforcer pour
serveurs DHCP Microsoft ... 345
Section 3 Installer Symantec NAC Integrated Enforcer pour serveurs DHCP
Alcatel-Lucent VitalQIP
... 347Chapitre 17 Présentation de Symantec NAC Integrated Enforcer pour serveurs DHCP Alcatel-Lucent
VitalQIP
... 349 A propos d'Integrated Enforcer for Alcatel-Lucent VitalQIP DHCPServers (Integrated Lucent Enforcer) ... 349 Ce que permet le module d'application Integrated Lucent
Enforcer ... 350 Fonctionnement du module d'application Integrated Lucent
Enforcer ... 350 Où trouver plus d'informations sur la documentation apparentée
pour un module d'application Integrated Lucent Enforcer ... 352
Chapitre 18 Planifier l'installation de Symantec NAC Integrated Lucent Enforcer
... 355 A propos de la planification de l'installation d'un module d'applicationIntegrated Lucent Enforcer ... 355 Eléments requis pour un module d'application Integrated Lucent
Enforcer ... 356 Planifier la disposition d'un module d'application Integrated Lucent
Enforcer ... 357 Spécifications matérielles pour un module d'application Integrated
Lucent Enforcer ... 359 Spécifications de système d'exploitation pour un module d'application
Integrated Lucent Enforcer ... 359
Chapitre 19 Installer Symantec NAC Integrated Enforcer pour serveurs DHCP d'entreprise Alcatel-Lucent
VitalQIP
... 361 Avant la première installation du module d'application IntegratedEnforcer pour serveurs DHCP d'entreprise Alcatel-Lucent
VitalQIP ... 361 Installer un module d'application Integrated Enforcer pour serveurs
DHCP d'entreprise Alcatel-Lucent VitalQIP ... 362 Désinstaller un module d'application Integrated Enforcer pour
serveurs DHCP d'entreprise Alcatel-Lucent VitalQIP ... 365 Arrêter et démarrer le serveur DHCP d'entreprise Lucent
VitalQIP ... 366
Section 4 Configurer Symantec NAC Integrated Enforcer sur la console d'un boîtier
Enforcer
... 367Chapitre 20 Configurer Symantec NAC Integrated Enforcer sur la console d'un boîtier Enforcer
... 369 A propos de la configuration de Symantec NAC Integrated Enforcersur une console Enforcer ... 370 Etablir ou modifier la communication entre Integrated Enforcer et
les serveurs Symantec Endpoint Protection Manager ... 371 Configurer la quarantaine automatique ... 373 Configuration des paramètres de base de Symantec Integrated
Enforcer ... 376 Ajout ou modification du nom d'un groupe Enforcer pour
Symantec Integrated Enforcer ... 376 Ajout ou modification de la description d'un groupe d'Enforcer
avec un module Symantec Integrated Enforcer ... 377 Ajout ou modification de l'adresse IP ou du nom d'hôte d'un
module Symantec Integrated Enforcer ... 377 Ajout ou modification de la description d'un module Symantec
Integrated Enforcer ... 377 Connexion de Symantec Integrated Enforcer à Symantec
Endpoint Protection Manager ... 378 Modifier une connexion Symantec Endpoint Protection
Manager ... 379 Configurer une liste de fournisseurs approuvés ... 380 Afficher les journaux Enforcer sur une console Enforcer ... 381
23 Table des matières
Configuration des journaux Symantec Integrated Enforcer ... 381 Configuration des paramètres d'authentification de Symantec
Integrated Enforcer ... 382 A propos de l'utilisation des paramètres d'authentification ... 382 A propos des sessions d'authentification ... 384 Spécifier le nombre maximum de paquets pendant une session
d'authentification ... 386 Spécification de la fréquence des paquets de stimulation à
envoyer aux clients ... 386 Autorisation de tous les clients avec la connexion continue des
clients non-authentifiés ... 387 Autorisation des clients non-Windows à se connecter à un réseau
sans authentification ... 389 Faire vérifier le numéro de série de politique d'un client par
Symantec Integrated Enforcer ... 389 Envoi d'un message de Symantec Integrated Enforcer à un client
à propos de non-conformité ... 391 Etablissement de la communication entre Symantec Integrated
Enforcer et Network Access Control Scanner sur une console
Enforcer ... 391 Configuration des paramètres avancés de Symantec Integrated
Enforcer ... 392 Autorisation des serveurs, des clients et des périphériques à se
connecter au réseau en tant qu'hôtes approuvés sans
authentification ... 393 Autorisation d'un client hérité à se connecter au réseau avec
Integrated Enforcer ... 394 Activation de l'authentification locale sur Integrated
Enforcer ... 395 Arrêter et démarrer les services de communication entre Integrated
Enforcer et un serveur de gestion ... 395 Déconnecter un module d'application Symantec NAC Lucent
Integrated Enforcer d'un serveur de gestion sur une console
Enforcer ... 397 Se connecter aux serveurs Symantec Endpoint Protection Manager
hérités ... 398
Section 5 Installer et configurer Symantec NAC Integrated Enforcer pour Microsoft
Network Access Protection
... 399Chapitre 21 Présentation de Symantec NAC Integrated Enforcer pour Microsoft Network Access Protection
... 401 A propos du module d'application Integrated Enforcer pour MicrosoftNetwork Access Protection ... 401
Chapitre 22 Planifier l'installation de Symantec NAC Integrated Enforcer pour Microsoft Network Access
Protection
... 403 A propos de la planification de l'installation de Symantec IntegratedNAP Enforcer ... 403 Composants requis pour Symantec Integrated NAP Enforcer ... 404 Configuration matérielle requise pour Symantec Integrated NAP
Enforcer ... 404 Système d'exploitation requis pour Symantec Integrated NAP
Enforcer ... 405 Système d'exploitation requis pour le client Symantec Network Access
Control ... 406
Chapitre 23 Installer Symantec NAC Integrated Enforcer pour
Microsoft Network Access Protection
... 407 Avant d'installer Symantec Integrated NAP Enforcer ... 407 Installation de Symantec Integrated NAP Enforcer ... 408Chapitre 24 Configurer Symantec NAC Integrated Enforcer pour Microsoft Network Access Protection sur une
console Enforcer
... 411 A propos de la configuration d'un boîtier Symantec Integrated NAPEnforcer sur une console Enforcer ... 412 Connecter un boîtier Symantec Integrated NAP Enforcer à un serveur
de gestion sur une console Enforcer ... 412 Chiffrer la communication entre un boîtier Symantec Integrated NAP
Enforcer et un serveur de gestion ... 414 Configurer un nom de groupe d'Enforcer sur la console Symantec
Integrated NAP Enforcer ... 415 25 Table des matières
Configurer un protocole de communication HTTP sur la console
Symantec Integrated NAP Enforcer ... 416
Chapitre 25 Configurer Symantec NAC Integrated Enforcer pour Microsoft Network Access Protection sur une console Symantec Endpoint Protection
Manager
... 417 A propos de la configuration d'un boîtier Symantec Integrated NAPEnforcer sur la console Symantec Endpoint Protection
Manager ... 418 Activer l'application NAP pour les clients ... 418 Vérifier que le serveur de gestion gère le client ... 419 Vérifier les politiques Security Health Validator ... 419 Vérifier que les clients passent la vérification de l'intégrité de
l'hôte ... 420 Activer l'authentification locale sur le module d'application Symantec
Integrated NAP Enforcer ... 420 Configurer des journaux pour le module d'application Symantec
Integrated NAP Enforcer ... 421
Section 6 Administration des modules d'application Enforcer depuis la console Symantec
Endpoint Protection Manager
... 423Chapitre 26 Gestion des modules d'application Enforcer depuis la console Symantec Endpoint Protection
Manager
... 425 A propos de la gestion des modules Enforcer sur la console de serveurde gestion ... 426 A propos de la gestion des modules d'application Enforcer depuis la
page Serveurs ... 427 A propos des groupes d'Enforcer ... 427
Comment la console détermine le nom de groupe
d'Enforcer ... 427 A propos des groupes d'Enforcer de basculement ... 427 A propos de la modification d'un nom de groupe ... 428 A propos de la création d'un nouveau groupe d'Enforcer ... 428 Informations Enforcer apparaissant sur la console Enforcer ... 428
Affichage des informations sur le module Enforcer sur la console de gestion ... 430 Modifier le nom et la description d'un module d'application
Enforcer ... 430 Suppression d'un Enforcer ou un groupe d'Enforcer ... 431 Exportation et importation des paramètres de groupe
d'Enforcer ... 432 Fenêtres contextuelles pour les clients bloqués ... 432 Messages pour les ordinateurs qui exécutent le client ... 433 Messages pour les ordinateurs Windows qui n'exécutent pas le
client (Gateway Enforcer ou DHCP Enforcer
seulement) ... 433 Configuration des messages d'Enforcer ... 434 A propos des paramètres de client et d'Enforcer ... 434 Configuration des clients pour utiliser un mot de passe afin d'arrêter
le service client ... 434
Section 7 Utilisation des rapports et des journaux
du module d'application Enforcer
... 437Chapitre 27 Gestion des rapports et des journaux du module
Enforcer
... 439 Rapports Enforcer ... 439 A propos des journaux Enforcer ... 440 A propos du journal de serveur Enforcer ... 440 A propos du journal de client Enforcer ... 441 A propos du journal du trafic de Gateway Enforcer ... 442 Configurer les paramètres du journal Enforcer ... 443Désactiver la consignation des évènements Enforcer sur la
console Symantec Endpoint Protection Manager ... 443 Activation de l'envoi des journaux d'un boîtier Enforcer à
Symantec Endpoint Protection Manager ... 444 Paramétrage de la taille et de l'âge des journaux Enforcer ... 445 Filtrage des journaux de trafic pour un boîtier Enforcer ... 445
Index
... 447 27 Table des matièresInstaller et configurer des boîtiers Symantec Network Access Control Enforcer
■ Présentation du boîtier Enforcer
■ Planifier l'installation du boîtier Enforcer
■ Mettre à niveau et migrer les images du boîtier Enforcer
■ Première installation du boîtier Enforcer
■ Effectuer des tâches de base sur la console d'un boîtier Enforcer
■ Configurer le boîtier Symantec Gateway Enforcer sur la console Symantec Endpoint Protection Manager
■ Configurer le boîtier Symantec DHCP Enforcer sur la console Symantec Endpoint Protection Manager
■ Configurer le boîtier Symantec LAN Enforcer sur la console Symantec Endpoint Protection Manager
■ Configurer les connexions temporaires pour les clients à la demande Symantec Network Access Control
1
Section
■ Interface de ligne de commande de boîtier Enforcer
■ Référence d'interface de ligne de commande de boîtier Enforcer
■ Dépanner un boîtier Enforcer
■ Questions fréquemment posées au sujet des boîtiers Gateway Enforcer, DHCP Enforcer ou LAN Enforcer
Présentation du boîtier Enforcer
Ce chapitre traite des sujets suivants :
■ A propos des boîtiers Symantec Enforcer
■ Public visé
■ Types d'application
■ Opérations possibles avec les boîtiers Symantec Network Access Control Enforcer
■ A propos des politiques d'intégrité de l'hôte et le boîtier Enforcer
■ Fonctionnement du boîtier Gateway Enforcer
■ Fonctionnement du boîtier DHCP Enforcer
■ Fonctionnement du boîtier LAN Enforcer
■ Prise en charge de solutions d'application tierces
■ Informations supplémentaires sur les modules d'application Symantec Enforcer
A propos des boîtiers Symantec Enforcer
Les modules Enforcer Symantec sont des composants de réseau facultatifs qui fonctionnent avec Symantec Endpoint Protection Manager.
Les boîtiers Symantec Enforcer basés sur Linux suivants fonctionnent avec des clients réseau, tels que les clients Symantec Endpoint Protection et Symantec Network Access Control, pour protéger le réseau d'entreprise :
1
Chapitre
■ Boîtier Symantec Network Access Control Gateway Enforcer
■ Boîtier Symantec Network Access Control DHCP Enforcer
■ Boîtier Symantec Network Access Control LAN Enforcer
Tous les boîtiers Symantec Enforcer basés sur Windows fonctionnent avec les clients réseau, tels que les clients Symantec Endpoint Protection et Symantec Network Access Control, pour protéger le réseau d'entreprise.
Remarque :Symantec Network Access Control Integrated Enforcer pour Microsoft Network Access Protection ne fonctionne pas avec les clients invités, tels que les clients Symantec Network Access Control On-Demand sur les plates-formes Windows et Macintosh.
Les instructions d'installation, de configuration et d'administration sont comprises dans la documentation pour les modules d'application Enforcer basés sur Windows suivants :
■ Symantec Network Access Control Integrated Enforcer pour serveurs DHCP Microsoft
Se reporter à"A propos de Symantec NAC Integrated Enforcer pour serveurs DHCP Microsoft"à la page 331.
■ Symantec Network Access Control Integrated Enforcer pour Microsoft Network Access Protection
Se reporter à"A propos du module d'application Integrated Enforcer pour Microsoft Network Access Protection"à la page 401.
■ Symantec Network Access Control Integrated DHCP Enforcer pour serveurs DHCP Alcatel-Lucent VitalQIP®
Se reporter à"A propos d'Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers (Integrated Lucent Enforcer)"à la page 349.
Public visé
La documentation est destinée à toute personne responsable de l'installation et du déploiement d'un boîtier Enforcer facultatif. Les lecteurs doivent avoir une bonne compréhension des concepts de réseau et être familiarisés avec l'administration de Symantec Endpoint Protection Manager.
Le boîtier Enforcer facultatif fonctionne uniquement avec des versions spécifiques d'autres composants.
Se reporter à"A propos de la mise à niveau et de la migration des images de boîtier Enforcer vers la version 11.0.3000"à la page 73.
Si vous avez l'intention d'utiliser un boîtier Enforcer facultatif avec une version précédente de Symantec Network Access Control, consultez la documentation fournie avec le boîtier Enforcer au moment de l'achat.
Types d'application
Tableau 1-1liste les boîtiers Enforcer facultatifs et les modules d'application Enforcer basés sur Windows.
Tableau 1-1 Types d'application Description Type de boîtier
Enforcer
Fournit l'application aux points d'accès pour les ordinateurs externes qui se connectent à distance par une des méthodes suivantes :
■ Virtual private network (VPN)
■ Réseau sans fil local
■ Serveur d'accès distant (RAS)
Un boîtier Gateway Enforcer peut également être configuré pour limiter l'accès à certains serveurs en autorisant seulement les adresses IP spécifiées. Symantec Gateway Enforcer est pris en charge sur les boîtiers Enforcer.
Se reporter à"Fonctionnement du boîtier Gateway Enforcer"
à la page 39.
Se reporter à"Planification d'installation pour un boîtier Gateway Enforcer"à la page 48.
Boîtier Symantec Gateway Enforcer
Fournit l'application pour les clients qui se connectent au réseau par un commutateur ou un point d'accès sans fil qui prend en charge l'authentification 802.1x. Le boîtier LAN Enforcer agit en tant que proxy RADIUS (Remote Authentication Dial-In User Service). Il peut fonctionner avec ou sans un serveur RADIUS qui fournit l'authentification au niveau utilisateur. Symantec LAN Enforcer est pris en charge sur les boîtiers Enforcer.
Se reporter à"Fonctionnement du boîtier LAN Enforcer"
à la page 41.
Se reporter à"Planification d'installation pour un boîtier LAN Enforcer"à la page 68.
Boîtier Symantec LAN Enforcer
33 Présentation du boîtier Enforcer
Types d'application
Description Type de boîtier
Enforcer
Fournit l'application pour les clients qui accèdent au réseau. Les clients reçoivent une adresse IP dynamique par l'intermédiaire d'un serveur DHCP (Dynamic Host Configuration Protocol).
Symantec DHCP Enforcer est pris en charge sur un boîtier Enforcer.
Se reporter à"Fonctionnement du boîtier DHCP Enforcer"
à la page 40.
Se reporter à"Planification d'installation pour un boîtier DHCP Enforcer"à la page 59.
Boîtier Symantec DHCP Enforcer
Fournit l'application pour les clients qui accèdent au réseau. Les clients reçoivent une adresse IP dynamique par un serveur DHCP (Dynamic Host Configuration Protocol). Symantec Integrated DHCP Enforcer est pris en charge sur la plate-forme Windows.
Symantec Integrated Enforcer pour serveurs DHCP Microsoft n'est pas pris en charge sur les boîtiers Enforcer.
Se reporter à"Fonctionnement d'un module d'application Integrated Enforcer pour serveurs DHCP Microsoft"à la page 332.
Se reporter à"Planification de l'emplacement d'un module d'application Integrated Enforcer pour serveurs DHCP Microsoft"
à la page 339.
Symantec Integrated Enforcer pour serveurs DHCP Microsoft
Fournit l'application pour les clients qui accèdent au réseau. Les clients reçoivent une adresse IP dynamique ou passent l'authentification 802.1x par l'intermédiaire d'un serveur DHCP (Dynamic Host Configuration Protocol). Symantec Integrated NAP Enforcer est pris en charge sur la plate-forme Windows Server 2008. Symantec Integrated Enforcer pour Microsoft Network Access Protection n'est pas pris en charge sur les boîtiers Enforcer.
Symantec Integrated Enforcer pour Microsoft Network Access Protection
Fournit l'application pour les clients qui accèdent au réseau. Les clients reçoivent une adresse IP dynamique ou passent l'authentification 802.1x par l'intermédiaire d'un serveur DHCP (Dynamic Host Configuration Protocol). Symantec Integrated DHCP Enforcer est pris en charge sur la plate-forme Windows.
Symantec Integrated DHCP Enforcer pour serveurs DHCP Alcatel-Lucent VitalQIP n'est pas pris en charge sur les boîtiers Enforcer.
Symantec Integrated Enforcer for
Alcatel-Lucent VitalQIP DHCP Servers
Opérations possibles avec les boîtiers Symantec Network Access Control Enforcer
Le boîtier Enforcer facultatif s'installe aux extrémités réseau pour les clients externes ou internes.
Par exemple, vous pouvez installer un boîtier Enforcer entre le réseau et un serveur VPN ou devant un serveur DHCP. Vous pouvez également l'installer pour l'application sur les ordinateurs client qui se connectent au réseau par un commutateur compatible 802.1x ou un point d'accès sans fil.
Le boîtier Enforcer effectue l'authentification de l'hôte plutôt que l'authentification au niveau utilisateur. Il vérifie que les ordinateurs client qui essayent de se connecter au réseau d'entreprise sont conformes aux politiques de sécurité de l'entreprise. Vous pouvez configurer les politiques de sécurité d'une entreprise sur la console Symantec Endpoint Protection Manager.
Si le client ne se conforme pas aux politiques de sécurité, le boîtier Enforcer peut prendre les mesures suivantes :
■ Bloquer son accès au réseau.
■ Lui fournir l'accès à des ressources limitées seulement.
Le boîtier Enforcer facultatif peut rediriger le client vers une zone de quarantaine avec un serveur de résolution. Le client peut alors obtenir les logiciels, les applications, les fichiers de signature ou les correctifs requis auprès du serveur de résolution.
Par exemple, une partie d'un réseau peut être déjà configurée pour les clients qui se connectent au réseau local par des commutateurs compatibles 802.1x. Dans ce cas, vous pouvez utiliser un boîtier LAN Enforcer pour ces clients.
Vous pouvez également utiliser un boîtier LAN Enforcer pour les clients qui se connectent par un point d'accès sans fil compatible 802.1x.
Se reporter à"Fonctionnement du boîtier LAN Enforcer"à la page 41.
Se reporter à"Planification d'installation pour un boîtier LAN Enforcer"
à la page 68.
Vous pouvez avoir d'autres parties du réseau qui ne sont pas configurées pour la prise en charge de type 802.1x. Vous pouvez utiliser un boîtier DHCP Enforcer pour gérer l'application pour ces clients.
Se reporter à"Fonctionnement du boîtier DHCP Enforcer"à la page 40.
Se reporter à"Planification d'installation pour un boîtier DHCP Enforcer"
à la page 59.
35 Présentation du boîtier Enforcer Opérations possibles avec les boîtiers Symantec Network Access Control Enforcer
Si vous avez des employés qui travaillent à distance et se connectent par un VPN ou à distance, vous pouvez utiliser le boîtier Gateway Enforcer pour ces clients.
Vous pouvez également utiliser le boîtier Gateway Enforcer si un point d'accès sans fil n'est pas compatible 802.1x.
Se reporter à"Fonctionnement du boîtier Gateway Enforcer"à la page 39.
Se reporter à"Planification d'installation pour un boîtier Gateway Enforcer"
à la page 48.
Si la haute disponibilité est requise, vous pouvez installer plusieurs boîtiers Gateway, DHCP ou LAN Enforcer au même emplacement pour assurer le basculement.
Se reporter à"Planifier le basculement pour les boîtiers Gateway Enforcer"
à la page 55.
Se reporter à"Planifier le basculement pour les boîtiers DHCP Enforcer"
à la page 64.
Se reporter à"Planifier le basculement pour les boîtiers LAN Enforcer"à la page 71.
Si vous souhaitez mettre en œuvre la haute disponibilité pour les boîtiers LAN Enforcer, vous devez en installer plusieurs avec un commutateur
compatible 802.1x. La haute disponibilité est rendue possible grâce à ce commutateur. Si vous installez uniquement les boîtiers LAN Enforcer, la haute disponibilité échoue. Vous pouvez configurer le commutateur compatible 802.1x pour la haute disponibilité.
Pour plus d'informations sur la configuration d'un commutateur compatible 802.1x pour la haute disponibilité, consultez la documentation d'accompagnement du commutateur.
Dans certaines configurations réseau, un client peut se connecter au réseau par plus d'un boîtier Enforcer. Tous les boîtiers Enforcer successifs doivent authentifier le client à la suite du premier pour que le client puisse se connecter au réseau.
A propos des politiques d'intégrité de l'hôte et le boîtier Enforcer
Les polices de sécurité que tous les boîtiers Enforcer vérifient sur les ordinateurs client sont appelées politiques d'intégrité de l'hôte. Ces politiques d'Intégrité de l'hôte sont créées et gérées sur une console Symantec Endpoint Protection Manager.
Les politiques d'intégrité de l'hôte spécifient le logiciel qui est requis pour s'exécuter sur un client. Vous pouvez par exemple spécifier que le logiciel de
sécurité suivant, situé sur un ordinateur client, doit être conforme à certaines conditions :
■ Logiciel antivirus
■ Logiciel antispyware
■ Logiciel pare-feu
■ Correctifs
■ Service packs
Si les conditions pré-définies ne répondent pas à vos besoins, vous pouvez également personnaliser les conditions.
Consultez le Guide d'administration pour Symantec Endpoint Protection et Symantec Network Access Control pour plus d'informations sur la configuration et la personnalisation des politiques d'intégrité de l'hôte.
Vous pouvez configurer des clients pour exécuter des vérifications de l'intégrité de l'hôte à diverses heures. Quand un client essaye de se connecter au réseau, il exécute une vérification de l'intégrité de l'hôte. Il envoie ensuite les résultats à un boîtier Enforcer.
Généralement, le boîtier Enforcer est configuré pour vérifier que l'ordinateur client réussit la vérification d'intégrité de l'hôte avant d'accorder l'accès réseau au client. Si le client passe la vérification de l'intégrité de l'hôte, il est conforme à la politique d'intégrité de l'hôte dans votre entreprise. Toutefois, chaque type de boîtier Enforcer définit différemment les critères d'accès au réseau.
Se reporter à"Fonctionnement du boîtier Gateway Enforcer"à la page 39.
Se reporter à"Fonctionnement du boîtier DHCP Enforcer"à la page 40.
Se reporter à"Fonctionnement du boîtier LAN Enforcer"à la page 41.
Communiquer entre un boîtier Enforcer et Symantec Endpoint Protection Manager
Le boîtier Enforcer reste connecté à Symantec Endpoint Protection Manager. A intervalles réguliers (nommés battement), le boîtier Enforcer récupère les paramètres du serveur de gestion qui contrôle son fonctionnement. Lorsque vous apportez des modifications sur le serveur de gestion qui affectent le boîtier Enforcer, le boîtier Enforcer reçoit la mise à jour pendant le battement suivant.
Le boîtier Enforcer transmet ses informations d'état au serveur de gestion. Il peut consigner les événements qu'il transmet au serveur de gestion. Les informations apparaissent alors dans les journaux sur le serveur de gestion.
37 Présentation du boîtier Enforcer A propos des politiques d'intégrité de l'hôte et le boîtier Enforcer
Symantec Endpoint Protection Manager conserve une liste de serveurs de gestion avec les informations de base de données répliquées. Il télécharge la liste de serveurs de gestion vers les modules d'application Enforcer connectés, les clients réseau et les clients invités. Si le boîtier Enforcer perd la communication avec un serveur de gestion, il peut se connecter à un autre serveur de gestion inclus dans la liste de serveurs de gestion. Si le boîtier Enforcer est redémarré, il utilise la liste de serveurs de gestion pour établir une nouvelle connexion à un serveur de gestion.
Quand un client essaye de se connecter au réseau par le boîtier Enforcer, le boîtier Enforcer authentifie l'identificateur unique (UID) du client. Le boîtier Enforcer envoie l'UID au serveur de gestion et reçoit une réponse d'approbation ou de refus.
Si un boîtier Enforcer est configuré pour authentifier l'UID, il peut récupérer des informations du serveur de gestion. Il peut alors déterminer si le profil du client a été mis à jour avec les dernières politiques de sécurité. Si les informations client, telles que l'identifiant client ou le profil client, sont modifiées sur le serveur de gestion, le serveur de gestion peut envoyer ces informations au boîtier Enforcer.
Le boîtier Enforcer peut effectuer une nouvelle authentification d'hôte sur le client.
Communication entre le boîtier Enforcer et les clients
La communication entre Enforcer et un client démarre au moment où le client essaie de se connecter au réseau. Le boîtier Enforcer peut détecter si un client est en cours d'exécution. Si un client s'exécute, Enforcer commence la procédure d'authentification par le client. Le client réagit en exécutant une vérification de l'intégrité de l'hôte et en envoyant les résultats, avec ses données de profil, à Enforcer.
Le client envoie également son identificateur unique (UID), qu'Enforcer transmet au Manager pour l'authentification. Le boîtier Enforcer utilise les informations de profil pour vérifier si le client est mis à jour avec les dernières politiques de sécurité. Si ce n'est pas le cas, Enforcer informe le client de la nécessité de mettre à jour son profil.
Une fois que le boîtier DHCP Enforcer ou Gateway Enforcer autorise la connexion du client au réseau, la communication se poursuit à un intervalle prédéfini régulier.
Cette communication permet au boîtier Enforcer de continuer l'authentification du client. Pour le boîtier LAN Enforcer, c'est le commutateur 802.1x qui gère cette authentification périodique. Par exemple, le commutateur 802.1 démarre une nouvelle session d'authentification il est temps d'effectuer une réauthentification.
Le boîtier Enforcer doit être constamment exécuté. Sinon, le client essayant de se connecté au réseau d'entreprise peut être bloqué.
Fonctionnement du boîtier Gateway Enforcer
Les boîtiers Gateway Enforcer exécutent une vérification à sens unique. Ils vérifient les clients qui essayent de se connecter au réseau de la compagnie par
l'intermédiaire de la carte d'interface réseau externe du boîtier Gateway Enforcer.
Un boîtier Gateway Enforcer utilise les processus suivants pour authentifier un client :
■ Quand un client tente d'accéder au réseau, le boîtier Gateway Enforcer vérifie d'abord si le client exécute le client Symantec Endpoint Protection ou le client Symantec Network Access Control. Si le client exécute l'un des logiciels clients, le boîtier Gateway Enforcer commence la procédure d'authentification d'hôte.
■ Le client qui s'exécute sur l'ordinateur d'un utilisateur exécute une vérification de l'intégrité de l'hôte. Il transmet alors les résultats au boîtier Gateway Enforcer avec ses informations d'identification et les informations sur l'état de sa politique de sécurité.
■ Le boîtier Gateway Enforcer vérifie avec Symantec Endpoint Protection Manager que le client est un client légitime et que sa politique de sécurité est à jour.
■ Le boîtier Gateway Enforcer vérifie que le client a réussi la vérification d'intégrité de l'hôte et est donc conforme aux politiques de sécurité.
■ Si tous les processus réussisent, le boîtier Gateway Enforcer permet au client de se connecter au réseau.
Si un client ne répond pas aux exigences pour l'accès, le boîtier Gateway Enforcer peut être configuré pour exécuter les actions suivantes :
■ Surveiller et consigner certains événements.
■ Bloquer les utilisateurs si la vérification d'intégrité de l'hôte échoue.
■ Afficher un message instantané sur le client.
■ Fournir au client un accès limité au réseau pour permettre d'utiliser les ressources réseau pour la résolution.
Pour configurer l'authentification du boîtier Gateway Enforcer, vous pouvez configurer les adresses IP client à contrôler. Vous pouvez spécifier les adresses IP externes approuvées que le boîtier Enforcer permet sans authentification. Pour la résolution, vous pouvez configurer le boîtier Gateway Enforcer pour permettre l'accès de clients à des adresses IP internes approuvées. Par exemple, vous pouvez permettre à des clients d'avoir accès à un serveur de mise à jour ou à un serveur de fichiers contenant les fichiers DAT de l'antivirus.
Pour des clients sans logiciel Symantec, vous pouvez rediriger des requêtes HTTP client vers un serveur Web. Par exemple, vous pouvez fournir d'autres instructions
39 Présentation du boîtier Enforcer Fonctionnement du boîtier Gateway Enforcer
sur la manière d'obtenir un logiciel de résolution ou autoriser un client à télécharger un logiciel client.
Vous pouvez également configurer le boîtier Gateway Enforcer pour permettre à des clients non Windows d'accéder au réseau. Le boîtier Gateway Enforcer fonctionne comme un pont plutôt que comme un routeur. Dès que le client est authentifié, le boîtier Gateway Enforcer transfère des paquets pour permettre au client d'accéder au réseau.
Fonctionnement du boîtier DHCP Enforcer
Le boîtier DHCP Enforcer est utilisé en ligne comme pont d'application de politique sécurisé pour protéger un réseau interne. Les clients qui tentent de se connecter au réseau envoient une requête DHCP d'adresse IP dynamique. Le commutateur ou le routeur, qui agit en tant que client de relais DHCP, achemine la requête DHCP au boîtier DHCP Enforcer. Le boîtier DHCP Enforcer est configuré en ligne devant le serveur DHCP. Avant d'acheminer la requête DHCP au serveur DHCP, le boîtier Enforcer vérifie que les clients sont conformes aux politiques de sécurité.
Si un client est conforme aux politiques de sécurité, le boîtier DHCP Enforcer envoie la demande d'adresse IP du client au serveur DHCP normal. Si l'agent n'est pas conforme aux politiques de sécurité, Enforcer le connecte au serveur DHCP de quarantaine. Le serveur de quarantaine affecte le client à une configuration réseau de quarantaine.
Vous pouvez installer un serveur DHCP sur un ordinateur et le configurer pour fournir une configuration réseau normale et une configuration réseau de quarantaine. Pour finaliser la solution de boîtier DHCP Enforcer, l'administrateur doit configurer un serveur de résolution. Le serveur de résolution restreint l'accès des clients mis en quarantaine afin que ces clients ne puissent interagir qu'avec le serveur de résolution. Si une haute disponibilité est requise, vous pouvez installer deux boîtiers DHCP Enforcer ou plus pour fournir des fonctions de basculement.
DHCP Enforcer applique des politiques de sécurité sur les clients qui essayent d'accéder à un serveur DHCP. Il ne bloque pas la requête DHCP si l'authentification client échoue. Le boîtier DHCP Enforcer transmet la requête DHCP à un serveur DHCP de quarantaine pour une configuration réseau de plage restreinte sur le court terme.
Lorsque le client envoie la requête DHCP, le boîtier DHCP Enforcer la transmet au serveur DHCP de quarantaine pour une adresse IP temporaire avec un bail court. Le boîtier DHCP Enforcer peut alors commencer son processus d'authentification avec le client.
Le boîtier DHCP Enforcer authentifie les clients au moyen de l'une des méthodes suivantes :
■ Lorsqu'un client tente d'accéder au réseau d'entreprise, le boîtier Enforcer vérifie d'abord si l'ordinateur client exécute le logiciel client Symantec Network Access Control. Si l'ordinateur client exécute le logiciel client Symantec Network Access Control, le boîtier Enforcer commence le processus d'authentification d'hôte.
■ Le logiciel client Symantec exécuté sur l'ordinateur client réalise une vérification d'intégrité d'hôte. Le client transmet alors les résultats au boîtier Enforcer avec ses informations d'identification et les informations sur l'état de sa politique de sécurité.
■ Le boîtier DHCP Enforcer vérifie avec Symantec Endpoint Protection Manager que le client est un client légitime et que sa politique de sécurité est à jour.
■ Le boîtier DHCP Enforcer vérifie que le client a réussi la vérification d'intégrité de l'hôte et est donc conforme aux politiques de sécurité.
■ Si toutes les étapes sont réussies, le boîtier DHCP Enforcer s'assure que l'adresse IP de quarantaine est libérée. Le boîtier DHCP Enforcer envoie alors la requête DHCP client au serveur DHCP normal. Le client reçoit alors une adresse IP normale et une configuration réseau.
Si le client ne satisfait pas les conditions de sécurité, le boîtier DHCP Enforcer s'assure que la requête DHCP est renouvelé avec le serveur DHCP de quarantaine.
Le client reçoit une configuration réseau de quarantaine, qui doit être configurée pour permettre l'accès à un serveur de résolution.
Le boîtier DHCP Enforcer peut être configuré pour permettre à des clients non-Windows d'avoir accès au serveur DHCP normal.
Fonctionnement du boîtier LAN Enforcer
Le boîtier LAN Enforcer agit en tant que proxy RADIUS (Remote Authentication Dial-In User Service).
Vous pouvez utiliser le boîtier LAN Enforcer avec un serveur RADIUS pour exécuter les actions suivantes :
■ Effectuer l'authentification utilisateur traditionnelle 802.1x/EAP.
Vous refusez l'accès réseau aux ordinateurs nuisibles. Tous les utilisateurs qui essayent de se connecter au réseau doivent d'abord s'authentifier par le biais du serveur RADIUS.
■ Vérifier que les ordinateurs client sont conformes aux politiques de sécurité définies sur le serveur de gestion (authentification de l'hôte).
41 Présentation du boîtier Enforcer Fonctionnement du boîtier LAN Enforcer